Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Descripción general del reenvío basado en filtros

Los filtros de firewall se pueden usar para bloquear paquetes específicos. También se pueden usar para afectar la forma en que se reenvían paquetes específicos.

Filtros que clasifican paquetes o los dirigen a instancias de enrutamiento

Solo para el tráfico IPv4 o IPv6 , puede usar filtros de firewall sin estado junto con clases de reenvío e instancias de enrutamiento para controlar cómo viajan los paquetes en una red. Esto se denomina reenvío basado en filtros (FBF).

Puede definir un término de filtrado que coincida con los paquetes entrantes según la dirección de origen y, después, clasifique los paquetes coincidentes con una clase de reenvío especificada. Este tipo de filtrado se puede configurar para otorgar cierto tipo de tráfico un trato preferente o para mejorar el equilibrio de carga. Para configurar un filtro de firewall sin estado para clasificar los paquetes en una clase de reenvío, configure un término con la acción nominativa forwarding-class class-name.

También puede definir un término de filtrado que dirija los paquetes coincidentes a una instancia de enrutamiento especificada. Este tipo de filtrado se puede configurar para enrutar tipos específicos de tráfico a través de un firewall u otro dispositivo de seguridad antes de que el tráfico continúe en su ruta. Para configurar un filtro de firewall sin estado para dirigir el tráfico a una instancia de enrutamiento, configure un término con la acción de finalización routing-instance routing-instance-name <topology topology-name> para especificar la instancia de enrutamiento a la que se reenvían los paquetes coincidentes.

Nota:

La comprobación de reenvío de rutas inversas (uRPF) de unidifusión es compatible con acciones de FBF. La comprobación uRPF se procesa para la comprobación de direcciones de origen antes de habilitar cualquier acción de FBF para interfaces estáticas y dinámicas. Esto se aplica a las familias IPv4 e IPv6.
Nota:

La ruta de ipsec (PMI) del modo de alimentación y la descarga de servicios (SOF) no será seguida por los paquetes que se reenvían con FBF.

  • SOF: incluso si SOF está habilitado, los paquetes no pasarán por SOF si se reenvían con FBF.

  • PMI: si la PMI está configurada, la dirección en la que está configurado el filtro, los paquetes en esa dirección no pasarán por la PMI. Los paquetes devueltos pasarán por la PMI, siempre que los paquetes devueltos no se reenvíen con FBF.

Para reenviar tráfico a la instancia de enrutamiento principal, haga referencia routing-instance default en la configuración del firewall, como se muestra aquí:

Nota:

No haga referencia a routing-instance master. Esto no funciona.

Filtrado de entrada para clasificar y reenviar paquetes dentro del enrutador o conmutador

Puede configurar filtros para clasificar paquetes según la dirección de origen y especificar la ruta de reenvío que los paquetes toman dentro del enrutador o conmutador mediante la configuración de un filtro en la interfaz de entrada.

Por ejemplo, puede usar este filtro para aplicaciones para diferenciar el tráfico de dos clientes que tienen una capa de acceso común (por ejemplo, un conmutador de capa 2) pero que están conectados a proveedores de servicios de Internet (ISP) diferentes. Cuando se aplica el filtro, el enrutador o conmutador puede diferenciar los dos flujos de tráfico y dirigir cada uno a la red adecuada. Según el tipo de medio que utilice el cliente, el filtro puede usar la dirección IP de origen para reenviar el tráfico a la red correspondiente a través de un túnel. También puede configurar filtros para clasificar los paquetes según el tipo de protocolo IP o los bits de prioridad IP.

Filtrado de salida para reenviar paquetes a otra tabla de enrutamiento

También puede reenviar paquetes basados en filtros de salida mediante la configuración de un filtro en las interfaces de salida. En el caso de la duplicación de puertos, es útil que los paquetes reflejados por puerto se distribuyan a varias PIC de monitoreo y PIC de recopilación según patrones en encabezados de paquetes. Se debe configurar la FBF en la interfaz de salida de espejo de puerto.

Los paquetes reenviados al filtro de salida han sido a través de al menos una búsqueda de ruta cuando se configura un filtro FBF en la interfaz de salida. Después de clasificar el paquete en la interfaz de salida mediante el filtro FBF, se redirige a otra tabla de enrutamiento para obtener más información sobre la ruta.

Restricciones para aplicar reenvío basado en filtros

Una interfaz configurada con reenvío basado en filtros no admite la coincidencia de filtros de uso de clase fuente (SCU) ni la contabilidad de uso de clase fuente y destino (SCU/DCU).

Temas relacionados